Recentemente, em decisão que chocou parte dos especialistas europeus em proteção de dados, a Autoridade Belga multou uma operadora de telefonia local em 50 mil euros em razão de inadequada nomeação de DPO (em português, encarregado de proteção de dados).
Após um incidente de segurança, a Autoridade daquele país realizou investigação sobre as práticas da empresa em matéria de proteção de dados e concluiu pela impossibilidade de cumulação das funções de DPO e head de compliance, pois as rotinas de compliance demandam tratamento constante e relevante de dados pessoais, o que inviabilizaria a supervisão independente de tais atividades por parte do DPO por se tratar da mesma pessoa. Ainda, tal cumulação de cargos, segundo a Autoridade Belga, revela um "significante grau de negligência" por parte da empresa investigada, o que culminou na aplicação da multa de 50 mil euros, que, a primeira vista, pode não parecer grande coisa, mas é a maior sanção administrativa imposta até agora pela Autoridade Belga, segundo os colegas europeus do escritório Fieldfisher.
O espanto dos profissionais de privacidade europeus se justifica em razão de a decisão ser considerada excessivamente rigorosa, já que: (I) o GDPR não permite a cumulação do cargo de DPO com outras funções, desde que não haja conflito de interesses; (II) as guidelines do WP29 (atual European Data Protection Board - EDPB) sobre DPO não chegam a esse nível de rigor, mencionando (tudo bem que a título de exemplo) posições de conflito com o DPO que passam longe daquilo que faz a pessoa em posição de head de compliance; e (III) muitas empresas na Europa - tal como vem acontecendo no Brasil - nomearam seus heads de compliance como DPO, sendo que, apesar dos riscos jurídicos envolvidos, isso nunca tinha sido um problema efetivo à luz de proteção de dados até então.
Inclusive, segundo o último relatório de governança disponibilizado pela IAPP em conjunto com a EY, em 18% dos casos o DPO se reporta ao(à) head de compliance da organização. Não preciso nem mencionar que o precedente belga deixou o pessoal em terras de GDPR de cabelo em pé, colocando em xeque programas de governança em proteção de dados e fazendo uma dúvida inquietante atravessar o Atlântico:
Mas, afinal, aqui no Brasil DPO vai poder acumular o cargo de head de compliance?
Bem, se lá no primeiro mundo, onde o GDPR é realidade, há muitos colegas discordando e encarando com perplexidade a decisão da Autoridade Belga, aqui no Brasil precisamos lembrar que a LGPD é omissa em relação ao acúmulo de funções, não dispondo sequer (ao menos não de maneira expressa) sobre a necessidade de se evitar conflito de interesses. Portanto, podemos concluir que é totalmente viável que o DPO acumule função, mas alguns alertas devem ser feitos - e o precedente belga deveria fazer com que abríssemos ainda mais os olhos.
Considerando a influência do direito europeu de proteção de dados sobre o brasileiro, bem como as tendências interpretativas que são esperadas da doutrina, jurisprudência e autoridade nacional, devemos considerar a ação de evitar conflito de interesses nas atribuições do DPO, senão como obrigação legal decorrente do artigo 41, §2º, III (que estabelece como função do DPO o dever de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais), ao menos como uma prática fortemente recomendável, para dar efetividade ao artigo 50 da LGPD (que aborda os elementos de um programa de governança adequado).
Abaixo, apresentamos breve orientações de como materializar tal prática:
- Dotar o DPO de independência para exercer suas funções;
- Prover os recursos necessários, conforme o tamanho da organização, para que as funções do DPO sejam realizadas a contento;
- Idealmente, não inserir o DPO dentro do contexto de estruturas que ele devera' analisar criticamente, tais como:
Compliance: O DPO deve analisar as operações de background-check que envolvem dados pessoais e são conduzidas por essa área;
TI: O setor de TI é responsável, por exemplo, pela aquisição de tecnologia da empresa, o que, no melhor cenário, deveria contar com uma análise isenta por parte do DPO;
Segurança da Informação: também no contexto ideal, o DPO deveria servir como uma segunda opinião em relação a assuntos que envolvam segurança da informação aplicada a dados pessoais;
Outras áreas de conflito evidente: são exemplos de áreas que podem trazer notório conflito de interesses em relação às atividades de DPO: RH, marketing, inovação, digital, big data, comercial/vendas etc.
Além disso, é importante que o DPO tenha as seguintes garantias que prestigiam a independência a ser perseguida:
- Ter acesso às lideranças das áreas-chave da empresa;
- Ter recursos (humanos e materiais) para o desempenho de suas funções;
- Reportar-se ao mais alto nível gerencial da organização; e
- Ter autonomia para exercício de suas atividades sem que sua atuação sofra pressões por resultados financeiros ou metas comerciais.
Bem, é claro que aqui estamos falando do mundo ideal. Em algumas organizações, principalmente em razão do porte e orçamento, não será possível criar uma área autônoma para o DPO e seu time, que se reporte ao mais alto nível gerencial como mandam as melhores práticas. Na maioria desses casos, a solução será mesmo a de cumular funções (ou terceirizar o DPO), sendo que, no caso de acúmulo de funções, será de extrema importância a criação de estrutura capaz de demonstrar os mecanismos adotados pela companhia para lidar com os conflitos de interesses que surgirão no dia-a-dia.
Enfim, como (quase) tudo na jornada de governança em proteção de dados, também para a estruturação de um cargo efetivo de DPO não há fórmula única. No entanto, o precedente belga deixa claro algo que é aplicável aqui ou lá: se o seu DPO for apenas para inglês ver, a caneta da autoridade poderá agir.
Todo cuidado é pouco nos programas de adequação à LGPD, especialmente no desenho da estrutura de governança, para que as medidas adotadas pelas organizações não revelem "significante grau de negligência"
_________